1.

1- Sécurisez l’architecture du Système d'Information

Maîtrisez les scénarios évolués d’attaque

Dans ce chapitre, je vous présente le principe et les étapes d'une APT « Advanced
Persistent Threat » et les impacts qu'elles peuvent avoir en matière de vol de
données, voire de sabotage du système d'information ou d'infrastructures
industrielles.

Comprenez les phases d'une APT

Les attaques mentionnées jusqu’ici correspondent à des attaques ponctuelles. Au
début des années 2000, des attaquants beaucoup plus organisés sont apparus avec
une vision à plus long terme. Ils ne se contentaient plus de compromettre un
système ou un autre et de repartir vers un autre objectif. Ils ont profité d’avoir un
premier pied dans le système d’information, avoir compromis un premier système,
pour ensuite rebondir sur le plus grand nombre possible, parfois des dizaines de
milliers de postes de travail, des centaines ou des milliers de serveurs.

Ayant compromis un périmètre aussi vaste, l’attaquant organise sa rémanence dans

le système d’information. Il voudra rester le plus longtemps possible et résister à la
réinstallation ou au nettoyage de quelques uns des systèmes qu’il a compromis.
Voici ce qui explique la définition du terme APT, Advanced Persistent Threat : une
attaque avancée et rémanente sur un vaste périmètre du système
d’information.
Les étapes d'une APT sont généralement :

une compromission initiale ; 


 une propagation latérale, souvent jusqu’à atteindre les composants les plus
privilégiés ;
 la mise en place de la rémanence ; 
 la mise en place des canaux de contrôle depuis l’extérieur et les vecteurs
d’exfiltration de données. 
La compromission initiale
La compromission initiale peut concerner un serveur exposé sur Internet, mais la
plupart du temps, l’attaquant va simplement compromettre un poste de travail du
réseau interne. Le volume important des postes de travail et la vigilance aléatoire
des utilisateurs va lui faciliter la tâche !
Par envoi de mails piégés

Cette compromission initiale peut se faire en particulier par envoi de mails piégés

aux utilisateurs de l’entreprise (spear phishing), soit au plus grand nombre, ce qui
peut s’avérer grossier, soit de manière très ciblée avec des contenu de message qui
collent au travail de l’employé concerné. Le piégeage peut se faire soit avec
une pièce jointe malveillante, soit en redirigeant vers un site Web qui présente
des codes d’exploitation pour compromettre le navigateur Web ou un de ses greffons
(par exemple, des lecteurs vidéo ou PDF).
En compromettant un site Web externe
L’envoi de mails peut dans certains cas être remplacé par l’attaquant par
la compromission d’un site Web sur lequel il est prévisible que des employés de
l’entreprise vont se connecter. La variété de ces cibles est assez large, il peut s’agit
du site du CE, un syndicat, un consortium d’entreprises, un site d’actualités
spécialisé dans le domaine d’activité, etc.
En piégeant un produit fournisseur

Dans quelques cas, la compromission initiale passe par le piégeage d’un

produit chez le fournisseur. Cela a été le cas pour la vague d’attaque
Havex/Dragonfly, où 4 fournisseurs d’équipements pour le domaine de l’énergie ont
été piraté, l’attaquant a déposé un cheval de Troie dans leur produit. Il a ensuite
attendu que le produit soit installé chez différent exploitants pour les compromettre à
leur tour.

La propagation latérale
L'objectif de cette étape est de récupérer le plus de données d'authentification
possible afin de se connecter au plus de systèmes possible pour à nouveau y
récupérer des données.
La propagation latérale va se faire assez simplement en collectant sur le premier
poste compromis les données d’authentification des utilisateurs, de l’administrateur
local, des mots de passe conservés en mémoire de tous les utilisateurs,
administrateurs ou tâches de service qui sont utilisées sur le poste. L’attaquant peut
ensuite réutiliser ces données d’authentification pour se connecter sur d’autres
postes de travail et y installer son cheval de Troie.

Plus l’attaquant a compromis de postes et plus il aura de chance de trouver sur l’un
d’eux des données d’authentification d’administrateur avec le plus haut niveau de
privilège, par exemple un Administrateur de Domaine Windows.

A défaut, il peut aussi viser des postes de travail sensibles, comme ceux des
administrateurs ou des composants d’infrastructures critiques, comme le serveur de
sauvegarde, le serveur de distribution de logiciels et de mises à jour, le serveur de
supervision, etc. Ces systèmes ont souvent le droit de se connecter sur tous les
autres composants du système d’information, la plupart du temps avec un niveau de
privilège élevé.
APT - Propagation latérale
La rémanence
Une fois en possession des clé de la maison, l’attaquant va pouvoir installer les
logiciels malveillants qui lui permettront de rester le plus longtemps possible.
Il peut s’agir d’installer un cheval de Troie sur les différents systèmes. Parfois, en
installer plusieurs différents histoire de résister à l’identification et au nettoyage de
l’un d’eux.

L’attaquant peut aussi rajouter des portes dérobées dans des applications ouvertes

sur l’extérieur, se créer des comptes spécifiques d’administration ou de service, y
compris sur les équipements réseau ou de sécurité.

Le Command&Control
L’attaquant a maintenant le contrôle de la majeure partie du système d’information, il
ne lui reste plus qu’à organiser la manière dont il va contrôler les systèmes et
exfiltrer des données volées.
Le plus souvent, ses chevaux de Troie communiquent par HTTP ou HTTPS. Il est
fréquent qu’il utilise aussi d’autres vecteurs de sortie, comme des accès VPN, des
points accès Internet annexes, parfois mal identifiés et non maîtrisés par la DSI.

Il peut aussi transmettre des documents par mail, utiliser une « boite morte » dans
un Webmail. Par exemple avoir des mails en Brouillon, avec une pièce jointe, qui
sont créés de l’intérieur du réseau, jamais envoyé, récupéré par l’accès externe du
Webmail puis supprimé.

Un accès Sharepoint pourra aussi lui être très utile pour déposer des archives de
documents et les récupérer par l’accès qui serait ouvert depuis Internet. Comme
pour la persistance, un des enjeux pour l’attaquant sera de diversifier ses canaux
de contrôle et d’exfiltration de documents. Et il pourra sortir parfois pendant des mois
et des mois plusieurs centaines de Go !
APT - Exfiltration
Le sabotage de systèmes
De plus en plus de cas nous montrent qu’une APT n’a pas forcément comme impact
uniquement le vol de données, mais peut aller jusqu’au sabotage du système
d’information ou d’une infrastructure industrielle !

L'exemple frappant de Stuxnet

Pour les systèmes industriels, le cas qui a initialement mis cela en évidence est
Stuxnet, l’attaque qui a visé jusqu’en 2010 les centrifugeuses iraniennes pour
enrichir l’uranium. Le schéma d’attaque est complexe : 

 renseignement humain,
 piratage de fournisseurs,
 infection initiale par média amovible en utilisant une vulnérabilité jusque-là
inconnue,
 reprogrammation des automates qui contrôlent les cascades de
centrifugeuses pour les faire tourner à une fréquence de rotation qui les
endommage,
 piratage du superviseur SCADA pour afficher néanmoins la fréquence
normale et non celle qui sort des limites de fonctionnement…
Bref, un cocktail détonnant dans ce scénario d’attaque évoluée, qui a induit des
dégâts de plusieurs centaines de millions d’euros et des retards de plusieurs années
sur le programme d’enrichissement iranien !

D'autres types d'attaques

De nombreux autres cas se sont produits, entraînant l’arrêt d’une usine sidérurgique
allemande, la panne du réseau électrique ukrainien, l’arrêt de chaînes de production
automobiles, l'effacement de dizaines de milliers de postes de travail et serveurs d'un
producteur pétrolier du golfe, etc.

Le sabotage se généralise aussi au travers des cryptolockers, des malwares qui,

après une propagation latérale, chiffrent l'ensemble des systèmes compromis et
demandent une rançon contre la clé de déchiffrement.

Dans le chapitre suivant, nous verrons les principes d'architecture qui permettent de
bloquer les attaques élémentaires ou les différentes étapes d'une APT.
En résumé
 La compromission initiale, source d'une APT, peut provenir de vecteurs
variés : spear phishing, sites web compromis, pièce jointe piégée,
compromission de fournisseurs, etc.
 Les attaquants peuvent rebondir sur des centaines ou milliers de systèmes
de l'infrastructure.
 Ils organisent leur rémanences pour rester maître des systèmes compromis
pendant parfois plusieurs années.
 L'APT peut aller jusqu'au sabotage du système d'information et
d'infrastructures industrielles.